Mastertools GmbH - IT-Architekten, IT-Service, Cloud-Services

Blog

Main Image

Sicherheit erhöhen mit 2-Faktor Authentifizierung

Wie funktionieren 2-Faktor Authentifizierungen und One-Time Passworte? Wieso erhöht dies die Sicherheit und wie kann das eingesetzt werden?

 

Beschäftigt man sich mit dem Thema Sicherheit tauchen sehr schnell einige Begriffe auf die ich hier mal näher betrachte:

 

Sicherheits-Elemente

Klassisches Login mit Benutzername und Passwort 

Die einfachste und zugleich auch unsicherste Methode ist das Klassische Login mit Benutzernamen (User) und Kennwort (Password). Wie sicher diese Methode ist, hängt im Wesentlichen von der Länge des Passwortes ab. Je länger und je mehr Zeichenklassen (Gross- und Kleinbuchstaben, Zahlen, Satz- und Sonderzeichen) das Passwort hat, desto sicherer ist es gegen Brut Force Attacken. Da der Benutzername häufig erraten werden kann oder sogar öffentlich ist (wie z.B. die E-Mail Adresse) reicht nur ein weiteres Merkmal um mit dem fremden Login Zugriff auf ein System zu erhalten. Zudem kann so ein Login recht einfach weitergegeben werden und wenn das Passwort nicht automatisch abläuft auch noch nach Jahren wiederbenutzt werden.

 

Zwei-Faktor-Authentifizierung bzw. two factor authentication (2FA)

Eine Wesentliche Verbesserung der Sicherheit wird erreicht, wenn für das Login zwei unterschiedliche Faktoren stimmen müssen. Der erste Faktor ist wie beim klassischen Login ein Passwort oder ein Pin. Als zweiter Faktor könnte sein:

  • ein Hardware-Token (z.B. USB Key, Smart Card, Schlüssel usw.)
  • ein Einmalpasswort (z.B. ein Code per SMS oder App, Code von Streichliste, oder Code eines Security Tokens)
  • ein Biometrisches Merkmal (z.B. Fingerabdruck, Iris-Scan, Stimmenerkennung, Gesichtserkennung usw.)

Immer beliebter als zweiten Faktor sind Systeme die auf das Handy übertragen werden da hier kein zusätzliches Gerät mitgenommen werden muss. 

 

Security-Token

Hardware Komponente die ein statischer Code, ein Zertifikat oder ein dynamisch generierter Code enthält. Der Benutzer muss das Token besitzen (und dabei haben) und ein Pin oder Passwort kennen um sich erfolgreich anmelden zu können. Die Tokens können auch kontaktlos über RFID NFC oder Bluetooth übertragen werden. Diese Funkstandards erlauben nur sehr geringe Reichweiten (bei NFC einige mm, bei Bluetooth um die 10m) was für die Sicherheit wichtig ist.

 

Smart Card / Zertifikat

Eine Smartcard oder auch USB Token mit einem Zertifikat von einer öffentlichen Zertifizierungsstelle enthält neben einem zweiten Faktor für die Authentifizierung auch gleich noch einen digitalen Ausweis über die Person. Mit der SuisseID können z.B. elektronische Dokumente in der Schweiz rechts-sicher digital signiert werden. Die digitale Unterschrift ist der klassischen Unterschrift gleichgestellt. Auch für das Login in ein Windows Domänen Netzwerk kann die SuisseID genutzt werden. Die Konfiguration des System ist allerdings sehr komplex und alles andere als einfach.

 

Biometrische Zugangskontrollen

Viele Notebooks und neuerdings auch Handies haben Fingerabdrucksensoren mit denen diese Geräte aktiviert werden können. Solange diese Sensoren alleine verwendet werden stellen Sie natürlich keine Erhöhung der Sicherheit dar - nur die Weitergabe des Zugriffs an andere Personen gestaltet sich schwieriger als bei Username/Passwort Kombinationen. Nur wenn der Biometrische Faktor zusammen mit einem Passwort oder Pin verwendet wird stellt es wieder eine Zwei-Faktor Authentifizierung dar.

 

Einmalpasswort / One time passcode (OTP) / mobile token

Die ersten Varianten von Einmalpassworten waren bei uns die Streichlisten für das Online-Banking. Für das Login ins Onlinebanking musste man nebst dem Benutzernamen (z.B. Vertragsnummer) und dem Passwort von einer Liste ein bestimmtes oder das nächste unbenutzte Einmalspasswort benutzten. Sowohl der Server als auch der Benutzer brauchen dabei Kenntnisse über diese Codes. Die Streichliste konnte aber natürlich auch weitergegeben oder gar Kopiert werden wie das Passwort. Wesentlich sicherer sind die heutigen dynamisch generierten Codes. Welcher Code übermorgen zwischen 10:15:24 und 10:15:40 Uhr gültig sein wird, weiss heute noch niemand. Der Server und das beim Benutzer befindliche Gerät müssen dafür aber zeit-synchron sein ausser der Code wird unmittelbar vor der Verwendung versendet (z.B. per SMS oder E-Mail). Sobald der Code erfolgreich benutzt oder abgelaufen ist, wird er ungültig und kann nicht mehr verwendet werden.

 

Schlussfolgerung

Beim Thema Sicherheit muss natürlich immer erwähnt sein, dass es eine absolute Sicherheit (auch mit den neusten Technologien) nicht gibt. Grundsätzlich gilt ein System dann als sicher, wenn der Aufwand das System zu knacken grösser ist, als der Wert den man dadurch erlangen kann.

Die Zweifaktor oder Mehrfaktor Authentifizierung kann helfen den Zugang zu einem System sicherer zu machen und erschwert es Hackern Accounts missbrauchen zu können oder an sensible Daten zu gelangen.

 

Weitere Infos:

https://tools.ietf.org/html/rfc2289

https://fidoalliance.org/

Beschreibung auf heise.de

 

Kommentare